PKI體系中CA的設(shè)計(jì)和信任模型的研究.pdf

1、隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)已逐步被人們所接受，然而，基于開放性的Intemet上的電子商務(wù)雖然具有傳統(tǒng)商務(wù)所沒有的優(yōu)勢(shì)，但同時(shí)也必須面對(duì)一些新問題的挑戰(zhàn)。開放性的網(wǎng)絡(luò)，經(jīng)常需要在不明身份實(shí)體之間進(jìn)行通信，導(dǎo)致電子商務(wù)系統(tǒng)面臨多方面的破壞和攻擊，如何保護(hù)商業(yè)信息不被非法獲取、盜用、篡改和破壞，已成為所有Intemet參與者共同關(guān)心的重要問題。 為了保障網(wǎng)絡(luò)上的各種應(yīng)用的機(jī)密性、完整性、身份鑒別和不可抵賴性。經(jīng)過多年的研

2、究，初步形成一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)。目前在網(wǎng)上銀行、電子商務(wù)、電子政務(wù)等系統(tǒng)中越來越多的使用基于公開密鑰基礎(chǔ)設(shè)施PKI(Public KeyInfrastructure)的安全策略。PKI是利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)(認(rèn)證中心，即CA)．把用戶的公鑰和用戶

3、的其他標(biāo)識(shí)信息捆綁在一起，在技術(shù)上能夠保證在交易過程中實(shí)現(xiàn)身份認(rèn)證、安全傳輸、不可否認(rèn)性、數(shù)據(jù)完整性。 本文介紹了PKI的理論基礎(chǔ)和基本體系，在研究PKI相關(guān)標(biāo)準(zhǔn)，證書/CRL等標(biāo)準(zhǔn)的基礎(chǔ)上提出了一套易用、易擴(kuò)展、自身安全性高的CA中心的設(shè)計(jì)方案，并對(duì)主要的業(yè)務(wù)流程做了詳細(xì)的闡述。在CA認(rèn)證中心構(gòu)建的安全性方面，探討了一種結(jié)合秘密共享體制，采用密鑰拆分機(jī)制保證CA中心自身簽名密鑰的安全性的一種方案。文中對(duì)幾種常見PKI信任模型以

4、及各種模型中CA的構(gòu)建方式展開了討論，對(duì)嚴(yán)格層次信任模型、網(wǎng)狀信任模型、混合信任模型、橋CA信任模型、Web信任模型以及以用戶為中心的信任模型進(jìn)行了研究分析，評(píng)述了各種模型的優(yōu)勢(shì)和缺陷，討論了這些信任模型中由于CA構(gòu)建方式不同而存在的效率和安全上的問題。在此基礎(chǔ)上，提出建立一個(gè)新的環(huán)形PKI信任模型，主要為了改進(jìn)網(wǎng)狀信任模型在信任路徑構(gòu)建較復(fù)雜、證書路徑過多過長以及信任關(guān)系處理困難等方面的問題。當(dāng)PCA遭到破壞時(shí)，建立的CA保護(hù)機(jī)制啟動(dòng)